Integriertes Mikroprozessorsystom ftir sicherheitskritische 
Regelungen 

Die Erfindung betrifft eine integrierte Schaltungsanordnung 
gemafi Anspruch 1 sowie dessen Verwendung in elektronischen 
Bremssystemen fur Kraf tf ahrzeuge oder in elektronischen 
Steuerungen zur Regelung der Fahrdynamik von Kraf tf ahrzeugen 
oder zur Steuerung von elektronisch gesteuerten Feststell- 
bremsen oder zur Steuerung von Fahrzeugruckhaltesystemen, 
wie beispielsweise Airbagsteuerungen . 

Mikroprozessorsysteme ftir sicherheitskritische Regelungen 
sind beispielsweise aus der DE 197 16 197 Al bekannt. Die 
dort offenbarten Mikroprozessorsysteme weisen eine redundan- 
te Datenverarbeitung auf, um fur sicherheitskritische Anwen- 
dungen, wie ABS- oder ESP-Steuergerate geeignet zu sein. Zur 
Herstellung von Redundanz enthalt das Mikroprozessorsystem 
duplizierte Funktionsgruppen auf, welche jeweils Zen- 
traleinheiten (CPU's), Busssysteme und weitere Funktions- 
gruppen, wie Speicher und Eingabe-/Ausgabekomponenten (I/O) 
umfassen. Durch spezielle Vergleicher und Bypasse, welche 
Vergleiche der Daten der Ausgangsdaten oder Ausgangssignale 
der Zentraleinheiten durchfuhren, lasst sich die ordnungsge- 
mafte Funktion der Funktionsgruppen uberprufen. 

Zu den sicherheitskritischen Regelungen gemaft der Erfindung 
zahlen u.a. die in die Bremsenfunktion eines Kraf tf ahrzeugs 
eingreifenden Regelungssysteme, die in grofier Anzahl und 
grofier Vielfalt auf dem Markt sind. Beispiele hierfur sind 
die Antiblockiersysteme (ABS), Antriebsschlupf regelungssys- 
teme (ASR) , Fahrstabilitatsregelungen (ESP, TCS, FDR, ASMS), 
Fahrwerksregelungssysteme, aber auch Steuergerate ftir Fest- 
stellbremsen und Ruckhaltesysteme etc. Zum Beispiel wiirde 
ein Ausfall eines ESP-Regelungssystems zu einer Gefahrdung 
der Fahrstabilitat des Fahrzeugs f uhren . Deshalb wird die 
Funktionsfahigkeit der Systeme standig liberwacht, um beim 
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Auftreten eines Fehlers die Regelung abschalten ("fault si- 
lent") Oder in einen fur die Sicherheit weniger gefahrlichen 
Zustand umschalten ("fault tolerant") zu konnen. 

Die Oberwachung der ordnungsgemafien Funktion von integrier- 
ten Schaltkreisen ist bei einer Anwendung in Bremssysteme 
bzw. Kraftfahrzeug-Regelungssystemen, bei denen bei Ausfall 
der Elektronik keine Umschaltung auf ein mechanisches oder 
hydraulisches System moglich ist, noch um einiges wichtiger. 
Hierzu zahlen aktuelle Bremssystemkonzepte, wie "brake-by- 
wire"; die Bremsenfunktion ist bei solchen Systemen auf ei- 
nen intakten elektronischen Schaltkreis angewiesen, so dass 
fur diese Bremssysteme die mit einem f ehlertoleranten Redun- 
danzkonzept ("fault tolerant") ausgelegten Mikroprozessor- 
systeme von besonderer Bedeutung sind. 

Ein weiteres Beispiel fur eine Schaltungsanordnung oder ein 
Mikroprozessorsystem zur Steuerung und Oberwachung einer 
blockiergeschiitzten Fahrzeugbremsanlage ist aus der DE 32 34 
637 C2 bekannt. Nach dieser. Schrift werden die Eingangsdaten 
zweier identisch programmierter Mikrocomputer parallel zuge- 
fiihrt und dort synchron verarbeitet. Die Ausgangssignale und 
Zwischensignale der beiden Mikrocomputern werden mit Hilfe 
von redundanten Vergleichern auf Ubereinstimmung gepruft. 
Wenn die Signale voneinander abweichen, wird uber eine eben- 
falls redundant ausgelegte Schaltung eine Abschaltung der 
Regelung herbeigefiihrt . Bei dieser bekannten Schaltung dient 
einer der beiden Mikrocomputer zur Erzeugung der Brems- 
drucksteuersignale, der andere zur Bildung der Pruf signale . 
Bei diesem symmetrisch aufgebauten Mikroprozessorsystem sind 
also zwei vollstandige Mikrocomputer, einschliefilich der 
zugehorigen Festwert- und Schreib-Lese-Speicher , erforder- 
lich. 



Nach einem anderen bekannten System, nach dem die in der DE 
41 37 124 Al beschriebene Schaltung aufgebaut ist, werden 
die Eingangsdaten ebenfalls zwei Mikrocomputern parallel 
zugefuhrt, von denen jedoch nur einer die vollstandige, auf- 
wendige Signalverarbeitung ausfiihrt. Der zweite Mikro- 
computer dient vornehmlich zur Oberwachung, weshalb die Ein- 
gangssignale nach Aufbereitung, Bildung von zeitlichen Ab- 
leitungen etc. mit Hilfe vereinf achter Regelalgorithmen und 
vereinfachter Regelphilosophie weiterverarbeitet werden kon- 
nen. Die vereinf achte Datenverarbeitung reicht zur Erzeugung 
von Signalen aus, die durch Vergleich mit den in dem aufwen- 
digeren Mikrocomputer verarbeiteten Signalen Riickschlusse 
auf den ordnungsgemafien Betrieb des Systems zulassen. Durch 
die Verwendung eines Priif -Mikrocomputers geringerer Leis- 
tungsfahigkeit lasst sich der Herstellungsauf wand im Ver- 
gleich zu einem System mit zwei vollstandigen, aufwendigen 
Mikrocomputern gleicher Leistung reduzieren. 

Aus der DE 43 41 082 Al ist bereits ein Mikroprozessorsystem 
bekannt, das insbesondere fur das Regelsystem einer blo- 
ckiergeschutzten Bremsanlage vorgesehen ist. Dieses bekannte 
System, das auf einem einzigen Chip untergebracht werden 
kann, enthalt zwei Zentraleinheiten, in denen die Eingangs- 
daten parallel verarbeitet werden. Die Festwert- und die 
Schreib-Lese-Speicher, die an die beiden Zentraleinheiten 
angeschlossen sind, enthalten zusatzliche Speicherplatze fur 
Priif informationen und umfassen jeweils einen Generator zur 
Erzeugung von Priif informationen . Die Ausgangssignale eines 
der beiden Zentraleinheiten werden zur Erzeugung der Steuer- 
signale weiterverarbeitet, wahrend die andere als passive 
Zentraleinheit lediglich zur Oberwachung der aktiven Zent- 
raleinheit dient. 



Bei den vorgenannten, bekannten Systemen wird also grund- 
satzlich die erf orderliche Sicherheit durch Redundanz der 
Datenverarbeitung erreicht. Im ersten Fall (DE 32 34 637 C2) 
basiert das System auf der Verwendung von zwei Prozessoren 
mit identischer Software, was in Fachkreisen als symmetri- 
sche Redundanz bezeichnet wird. Im zweiten Fall (DE 41 37 
124 Al) werden zwei Prozessoren mit unterschiedlicher Soft- 
ware verwendet (sog. asymmetrische Redundanz) . Grundsatzlich 
ist es auch mdglich, einen einzigen Prozessor zu verwerten, 
der auf Basis unterschiedlicher Algorithmen die Eingangsda- 
ten verarbeitet, wobei dann zusatzliche Uberprufungs- 
algorithmen zum Feststellen eines fehlerfreien Arbeitens 
Anwendung finden. 

Schliefllich ist aus der DE 195 29 434 Al (P7959) bereits ein 
System der eingangs genannten Art bekannt, das auch als Sys- 
tem mit Kernredundanz bezeichnet wird. Bei diesem bekannten 
Mikroprozessorsystem sind zwei synchron betriebene Zentral- 
einheiten auf einem oder auf mehreren Chips vorgesehen, die 
die gleichen Eingangsinf ormationen erhalten und das gleiche 
Programm abarbeiten. Die beiden Zentraleinheiten sind dabei 
uber separate Bus-Systeme an die Festwert- und an die 
Schreib-Lese-Speicher sowie an Eingabe- und Ausgabeeinheiten 
angeschlossen. Die Bus-Systeme sind untereinander durch 
Treiberstufen bzw. Bypasse verbunden sind, die den beiden 
Zentraleinheiten ein gemeinsames Lesen und Abarbeiten der 
zur Verfiigung stehenden Daten, einschliefilich der Priifdaten 
und Befehle ermoglichen. Das System ermoglicht eine Einspa- 
rung von Speicherplatz . Nur eine der beiden Zentraleinheiten 
ist (direkt) mit einem vollwertigen Festwert- und einem 
Schreib-Lese-Speicher verbunden, wahrend die Speicherkapazi- 
tat des zweiten Prozessors auf Speicherplatze fur Priifdaten 
(Paritatsliberwachung) in Verbindung mit einem Pruf datengene- 
rator beschrankt ist. Zugriff zu alien Daten besteht iiber 




- 5 - 

die Bypasse. Dadurch sind beide Zentraleinheiten in der La- 
ge, jeweils das vollstandige Programm abzuarbeiten . 

Die vorstehend beschriebenen hochintegrierten und komplexen 
sicherheitskritischen Mikroprozessorsysteme wurden bisher 
nicht mit den zur Ansteuerung von energiezehrenden Verbrau- 
chern, wie Ventilspulen zur hydraulischen Bremsdruckrege- 
lung, aktiven Bauelementen auf einem gemeinsamen Chip oder 
Chiptrager zusammengefasst. Aus diesem Grund war es bisher 
notwendig, in den elektronischen Reglern fur elektronische 
Br ems sy st erne mehrere integrierte Schaltkreise (z.B. IC s 
bzw. separat gehauste Chips) auf einem oder mehreren Leiter- 
bahntragern unterzubringen . Nur so konnten sowohl die fur 
die eigentliche elektrohydraulische Funktion (z.B. Aktuato- 
ransteuerung, redundante Endstufen, Treiber) , als auch die 
fur den Betrieb des Mikroprozessors notwendigen Failsafe- 
Baugruppen realisiert werden. Bei diesem 2-Chip-System ent- 
halt der erste Chip das redundante Mikrokoprozessorsystem 
und der zweite Chip umfasst sowohl digitale als auch analoge 
Schaltungsteile (mixed signal) mit Baugruppen zur Signalauf- 
bereitung (signal conditioning) , Aktuatoransteuerung und fur 
die Behandlung der Failsaf e-Funktionalitat (z.B. Watchdog). 

Die vorliegende Erfindung setzt sich zum Ziel, eine integ- 
rierte Schaltungsanordnung zur Verfugung zu stellen, die 
einerseits die bislang getrennten Schaltkreise auf einem 
gemeinsamen Chip oder Chiptrager zusammenf asst und gleich- 
zeitig in der Lage ist, bei praktisch jedem auftretenden 
Einzelfehler eine Erkennung dieses Fehlers zuverlassig zu 
ermoglichen . 

Diese Aufgabe wird erf indungsgemafi durch die integrierte 
Schaltungsanordnung gemafi Anspruch 1 gelost. 
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Der Erfindung liegt somit der Gedanke zugrunde, ein soge- 
nanntes "Single Chip EBS System" zu schaffen, also bei- 
spielsweise eine Schaltungsanordnung fiir ein elektronisches 
Bremssystem, welche lediglich einen, gegen Fehler und auftere 
Storeinflusse intern abgesicherten, f ehlerredundanten, hoch- 
integrierten Schaltkreis aufweist. Die erf indungsgemaAe 
Schaltungsanordnung ist deshalb praktisch vollstandig auf 
einem Stuck eines Halbleitersubstrats (z.B. Silizium) reali- 
sierbar. Hierdurch lasst sich die sonst vielfach iibliche 
Trennung von Leistungselektronik und hochintegrierten 
Schaltkreisen vermeiden. 

Durch die in Anspruch 6 bevorzugte Ausf iihrungsf orm wird mit 
Hilfe der gemafi Anspruch 1 vorgeschlagenen Integration der 
bislang getrennten integrierten Schaltkreise eine uberaus 
hohe Komplexitat bei der Fehlererkennung und der Fehlertole- 
ranz moglich. Bei Erkennung eines entsprechenden Fehlers 
wird vorzugsweise entweder in eine sogenannte sichere Riick- 
fallebene zuruckgeschaltet oder auf eine andere, funktions- 
tuchtige Funktionsgruppe mit gleicher Funktion umgeschaltet 
oder die betreffende Funktionsgruppe stillgelegt (fault si- 
lent) . Beispielsweise sind in der Riickf allebene noch be- 
stimmte Sof tware-Teilf unktionen des EBS auch in dem redu- 
zierten Funktionsumf ang durchf iihrbar , jedoch sind andere 
Software-Funktionen je nach Tiefe der Ruckf allebene nach und 
nach nicht mehr durchf iihrbar . Die Schaltung weist insbeson- 
dere mehrere solcher Riickf allebenen auf, z.B. in der Reihen- 
folge ESP, ASR, ABS f wobei von links nach rechts die Anzahl 
der funktionstuchtigen Schaltungselemente abnimmt. 

Vorzugsweise werden zur weiteren Erhohung der Sicherheit in 
den Gebieten zwischen den einzelnen getrennt deaktivierbaren 
Funktionsgruppen der integrierten Schaltungsanordnung 
Schutzzonen ausgebildet. Beispielsweise kann eine entspre- 



chende Schutzzone ein Gebiet der integrierten Schaltungsan- 
ordnung sein, welches vorzugsweise sehr hochohmig im Ver- 
gleich zur Umgebung ist und als Isolation gegen Totalausfal- 
le der verschiedenen Funktionsgruppen (IC's) auf dem Chip 
verwendet wird. Auf diese Weise ist es moglich, Fehler wie 
Oberspannung, elektrostatische Spannungen (ESD) , Uberlas- 
tung, in einer Funktionsgruppe begrenzt zu halten, so dass 
die durch den Fehler hervorgeruf enen Schaden nicht zu einer 
Beschadigung der in Nachbarschaf t zu der beschadigten Funk- 
tionsgruppe liegenden Funktionsgruppen fiihren. Hierdurch 
kann erst ein sicheres Umschalten in den sicheren Modus 
durch den jeweils anderen noch f unktionsf ahigen Teil gewahr- 
leistet werden. 

Die Schutzzonen werden bevorzugt als Guard-Ringe oder Tren- 
ches (beispielsweise Deep-Trenches) ausgebildet. Auch eine 
Kombination dieser beiden Isolationsmethoden kann fur beson 
dere Falle zweckmafiig sein. 

Die integrierte Schaltungsanordnung gemaft der Erfindung de- 
finiert einen Mikrokontroller, welcher praktisch alle not- 
wendigen Analogschaltkreise umfasst, so dass sich diese bis 
lang getrennten Funktionseinheiten auf einem gemeinsamen 
Chip oder Chiptrager befinden. Der eingesetzte Chip oder 
Chiptrager besteht bevorzugt im wesentlichen aus einem Halb 
leitermaterial, wie z.B. Silizium oder Germanium. 

Das Layout der erf indungsgemaften Schaltung wird bevorzugt s 
hergestellt, dass moglichst wenige leitende Verbindungen 
zwischen den einzelnen Funktionsgruppen und eine moglichst 
geringe Zahl von Leitungsuberschneidungen vorhanden sind. 
Auf diese Weise werden auch die sonst in hoher Zahl notwen- 
digen ggf. vorhandenen Puf f erstrukturen vermindert. Urn dies 
zu erreichen, ist es besonders zweckmafiig, eine verbesserte 
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Routingmethode anzuwenden, wie sie in der Patentanmeldung 
PCT/EP0200416 beschrieben ist. Das in dieser Patentanmeldung 
beschriebene Verfahren, welches bevorzugt zur Herstellung 
der erf indungsgemalien integrierten Schaltungsanordnung ein- 
gesetzt wird, ftthrt eine Erstellung eines Layouts mittels 
eines automatisierten Verfahrens durch, bei dem mindestens 
zwei logisch getrennte Teilsysteme (Funktionsgruppen) vorge- 
sehen sind, und neben der logischen Trennung zusatzlich eine 
raumliche (physikalische) Trennung der Teilsysteme auf der 
zur Verfiigung stehenden Flache der Schaltungsanordnung vor- 
genommen wird. 

Die auf dem gemeinsamen Chip oder Chiptrager angeordneten, 
paarweise oder mehrfach vorhandenen Funktionsgruppen, wie 
Uberwachungsschaltungen, Spannungsuberwachungen, Watchdog 
etc., sind bevorzugt elektrisch so miteinander und/oder mit 
einem Aktuator verbunden, dass jeweils der Ausfall einer 
Funktionsgruppe durch die zum Paar gehorende andere Funkti- 
onsgruppe und/oder durch ein an beide zum Paar gehorenden 
Funktionsgruppen angeschlossenes Bauelement (z.B. Aktua- 
tortreiber) bemerkt wird. Auf diese Weise kann, z.B. wenn 
eine Storung in den Leitungsverbindungen der beiden Schal- 
tungen vorliegt, der entsprechende Aktuatortreiber abge- 
schaltet werden. 

Mit der Erfindung wird somit vorteilhaf terweise eine Redu- 
zierung der Bauteilanzahl erreicht, wodurch sich neben ge- 
ringeren Kosten vor allem eine verbesserte Ausfallrate und 
Zuverlassigkeit ergibt . 

Weitere bevorzugte Ausf uhrungsf ormen ergeben sich aus den 
Unteranspruchen, der nachf olgenden Beschreibung der Figuren. 
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Es zeigen 

Fig. 1 eine Schaltungsanordnung einer Regelelektronik 
nach dem Stand der Technik, 

Fig. 2 eine Schaltungsanordnung fur ein beispielgemafles 
Mikrorechnersystem, 

Fig. 3 schematische Darstellungen eines Beispiels zur 

Realisierung von Leitungsdurchf iihrungen zwischen 
getrennten Funktionsblocken in der Schaltungsan- 
ordnung gemafi Fig. 2 und 

Fig. 4 eine schematische Darstellung eines Beispiels fur 
die Ausfuhrung der Schaltungsanordnung im Bereich 
eines Ventiltreibers (MD) . 

Die Schaltungsanordnung in Fig. 1 umfasst alle notwendigen 
Funktionsgruppen eines sicherheitsoptimierten, an sich be- 
kannten, und vielfach in heutigen Kraf tf ahr zeugen eingesetz- 
ten universellen ABS-, ASR- und ESP-Steuergerats . Die ge- 
strichelten Linien stehen fur voneinander abgetrennte Berei- 
che 1, 2 und 5. Diese symbolisieren drei voneinander ge- 
trennte, separat eingehauste integrierte Schaltkreise 
(Chips) , welche auf einem nicht dargestellten gemeinsamen 
Leiterbahntrager angeordnet sind. 

Die fur den Betrieb notwendigen Funktionsgruppen sind unter 
anderem ein integriertes Mikroprozessorsystem 1, welches in 
einem ersten Chip angeordnet ist, eine integrierte Leis- 
tungselektronik 2, welche in einem zweiten Chip angeordnet 
ist, und eine Sicherheitsschaltung 5. Mikroprozessorsystem 1 
umfasst im wesentlichen einen ersten Mikroprozessor 3 und 



einen zweiter Mikroprozessor 4. Neben Chip 1 ist Failsafe- 
Modul 7 zur Uberwachung der Chips 1 und 2 vorgesehen. 

In Chip 2 sind die Endstuf entreiber 11 zur Ansteuerung der 
Magnetventile 6 zusammengef asst . Ferner umfasst die Schal- 
tungsanordnung eingangsseitig einen A/D-Wandler 8, eine Sen- 
sorsignalaufbereitungseinheit 31, die mit Raddrehzahlsensor- 
eingang 9 und Raddrehzahlsensoren 20 verbunden ist. Weiter- 
hin sind dort Oszillatoren 10, 10' , Relais 12 zum Schalten 
von Pumpenmotor 13, Warnlampentreiber 15 zur Ansteuerung von 
Warnlampen 14, CAN-Treiber 16, SPI-Treiber 11, EE PROM 18, 
Eingabe-/Ausgabe-Ports 19, Spannungsregler 21, sowie redun- 
dante elektronische Schaltelemente 2 6 zur Abschaltung der 
Ventilspulen 2 6 (MD) zusammengef asst . 

In Fig. 2 ist ein Beispiel fur einen Mikrokontroller 23 
gemaB der Erfindung dargestellt, welches die Besonderheit 
aufweist, dass alle Funktionsgruppen fur ein Fahrdynamikre- 
gelungssystem (fur ABS, ESP etc.) auf einem gemeinsamen Si- 
liziumchip 23 als sogenanntes "single chip" -System angeord- 
net sind. Bei den Funktionsgruppen handelt es sich im Prin- 
zip immer urn eigenstandige integrierte Schaltungen. Mikro- 
kontroller 23 umfasst ein redundantes Mikroprozessorsystem 1 
mit einem ersten Mikrorechner 22 und zweiten Mikrorechner 
23, welche, je nach dem vorhandenen Redundanzkonzept (Kern- 
redundanz, symmetrische Redundanz, asymmetrische Redundanz) , 
iiber einen nichtgezeichneten seriellen oder parallelen Da- 
tenbus miteinander verbunden sind. Uber diesen Datenbus kon- 
nen die Mikrorechner Daten zur Oberprufung deren korrekten 
Funktion austauschen bzw. sich gegenseitig bei einer Fehl- 
funktionen aktivieren bzw. sich oder das ganze System ab- 
schalten . 
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Mikrokontroller 2 umfasst weiterhin die Funktionsgruppen 
A/D-Wandler 8, Ventiltreiber (PWM oder Digital) 11, 
allgemeine Signalverarbeitungseinheit 31 fur Sensoren (ins- 
besondere Rad-, und/oder Drucksensoren) , Warnlampentreiber 
15, Spannungsversorgung 21, Sicherheitsschaltung 5, 5', 7, 
7', 27, wie zum Beispiel Watchdog bzw. Funktionsgruppen zur 
Spannungsiiberwachung der aufteren Betriebsspannungen (FMon) , 
redundante Spannungsref erenzen 32, 32' (z.B. Bandgap- 
Referenzen) , Ansteuerlogik 33 fur die Leistungstreiberstu- 
fen. 

Die im vorstehenden Absatz beschriebenen Funktionsgruppen, 
welche in den Figuren 3 a) und b) noch einmal am Beispiel 
von zwei Funktionsgruppen vergroftert dargestellt sind, sind 
durch Isolationszonen 24, zum Beispiel Guardringe oder Tren- 
ches (Graben) , voneinander so isoliert, dass defekte Schal- 
tungsteile keinen Einfluss auf benachbarte Funktionsblocke 
haben. Aufierdem sind die Funktionsgruppen auf dem Chip be- 
vorzugt so angeordnet, dass redundante Funktionen physika- 
lisch (raumlich und/oder elektrisch) auf dem Chip moglichst 
weit voneinander getrennt sind. Hierdurch kann eine Wechsel- 
wirkung der baugleichen Gruppen auf Grund einer Funktions- 
storung -wie etwa durch thermische Uberlastung oder ESD- 
Einwirkung verursacht- verhindert werden . 

In Fig. 3 sind in einer Prinzipdarstellung zwei elektrisch 
miteinander verbundene Funktionsgruppen 25 und 25' gezeich- 
net, welche durch Isolationszonen 24 voneinander isoliert 
sind. Die elektrischen Leitungen 30 verbinden die Funktions 
blocke miteinander und sind dazu wie Brucken iiber die Isola 
tionszonen 24 hinweggef uhrt . Urn Sicherheitsnachteile auf- 
grund von Leitungsverbindung zu vermeiden, ist eine zusatz- 
liche elektrische Trennung der Funktionsgruppen vorgesehen. 
Deshalb sind Leitungen 30 so ausgefiihrt, dass bei einem Feh 
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ler von Funktionsgruppe 25 keine Riickwirkung auf die Funkti- 
onsgruppe 25' bzw. umgekehrt moglich ist. Hierzu sind in die 
Leitungen unidirektionale Puffer 28 , 28' (Fig. 3a) oder ESD- 
Schutzstrukturen 29, 29' (Fig. 3b) eingefiigt. 

In Fig. 4 ist der Bereich der Chipflache 23 dargestellt, auf 
dem sich die in Fig. 2 erwahnten Oberwachungsschaltungen 5 
und 5' (FMon zur Oberwachung der Betriebsspannung) befinden. 
Entsprechend dem Beispiel in Fig. 3b) ist eine Leitung 38 
vorgesehen, welche iiber Schutzstruktur 24 fuhrt und einen 
Puffer 28 enthalt. Oberwachungsschaltung 5 ist iiber Leitung 
37 mit UND-Gatter 34 verbunden. Entsprechend ist die redun- 
dante Uberwachungsschaltung 5' uber Leitung 38 mit UND- 
Gatter 34 verbunden. Ein weiterer Eingang des UND-Gatters 
ist mit Treiberansteuerelektronik 35 zur Ansteuerung des 
Hauttreibers 2 6 (MD) verbunden. 

Tritt beispielsweise eine Storung in den Leitungsverbindun- 
gen der beiden Schaltungen 5 und 5' auf, wird die Signallei- 
tung 36 bei Ansteuerung des Haupttreibers 2 6 durch Haupt- 
treiberansteuerung 35 nicht mit einem elektrischen Signal 
beaufschlagt. An Leitung 36 liegt nur dann ein Signal an, 
wenn alle Eingange des UND-Gatters mit einem Signal beauf- 
schlagt sind. Ein Ausfall einer Uberwachungsschaltung 5 oder 
5' bzw. ein durch diese Schaltung f estgestellter Fehler 
fuhrt somit zur Sperrung des Haupttreibers 2 6 und damit zur 
Abschaltung des Ventils 6. 
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Patentansprttche 

1. Integrierte Schaltungsanordnung fur sicherheitskritische 
Anwendungen, insbesondere fur Steuerungs- und Regelauf- 
gaben in einem elektronischen Kraf tf ahrzeugbrems system, 
umfassend mehrere elektronische, zusammenwirkende Funk- 
tionsgruppen (25, 25'), wobei elektrischen Leitungen 
(30) vorhanden sind, die die Funktionsgruppen (25, 25') 
miteinander verbinden, gekennzeichnet durch 
Funktionsgruppen erster Art und zweiter Art, wobei die 
Funktionsgruppen der ersten Art zumindest die Funktions- 
gruppe redundantes Mikroprozessorsystem (1) und insbe- 
sondere die Funktionsgruppe Ein-/Ausgabeeinrichtungen 
(19) umfassen, und die Funktionsgruppen zweiter Art zu- 
mindest die Funktionsgruppen Aktuatortreiber (11, 15, 
24, 35) und Sicherheitsschaltkreise (5, 5', 7, 7') um- 
fassen, und wobei die Funktionsgruppen erster Art und 
zweiter Art auf einem gemeinsam Chip oder Chiptrager 
(23) vereint sind. 

2. Schaltungsanordnung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass das redundante Mikroprozessorsystem ein 
kernredundantes Mikrokontroller-System oder ein Mikro- 
kontroller-System mit symmetrischer Redundanz oder ein 
Mikrokontroller-System mit asymmetrischer Redundanz ist. 

3. Schaltungsanordnung nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, dass die Funktionsgruppen zumindest teil- 
weise oder bevorzugt sogar uberwiegend durch isolierte 
Bereiche, insbesondere dotierte Guard-Ringe und/oder 
eingeatzte Barrieren, wie beispielsweise Trenches oder 
Deep-Trenches, voneinander geschutzt sind. 
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Schaltungsanordnung nach mindestens einem der Anspruche 
1 bis 3, dadurch gekennzelchnet, dass die elektrischen 
Leitungen (30) , die von einer ersten Funktionsgruppe 
(25) zu einer zweiten Funktionsgruppe (25') fuhren, mit- 
tels Puf ferelement/-en (28) und/oder ESD- 
Schutzstrukturen (29, 29') vor f ehlererzeugenden Ereig- 
nissen der Nachbarf unktionsgruppe/-n und/oder vor f eh- 
lererzeugenden aufteren Einfliissen geschutzt sind. 

Schaltungsanordnung nach Anspruch 3 oder 4, dadurch ge- 
kennzeichnet, dass die elektrischen Leitungen auf min- 
destens einer oder jeder einer Funktionsgruppe zugewand- 
ten Seite eines isolierten Bereichs ein Puf f erelement 
und/oder eine ESD-Schutzstruktur aufweisen. 

Schaltungsanordnung nach mindestens einem der Anspruche 
1 bis 5, dadurch gekennzeichnet, dass das Mikroprozes- 
sorsystem, die Funktionsgruppen erster Art, welche ins- 
besondere im wesentlichen digitale Schaltungskomponenten 
umfassen, und die Funktionsgruppen zweiter Art, welche 
im wesentlichen analoge Schaltungskomponenten zur An- 
steuerung von leistungsf ahigen Verbrauchern und insbe- 
sondere die Sicherheitsschaltkreise so miteinander ver- 
netzt, dass eine individuelle Sicherheitstiberwachung der 
einzelnen Funktionsgruppen ermoglicht wird. 

Schaltungsanordnung nach mindestens eine der Anspruche 1 
bis 6, dadurch gekennzeichnet, dass ein Teil der Funkti- 
onsgruppen zwei oder mehrfach redundant ausgefiihrt ist 
(5, 5') und bei einer Fehlfunktion der redundant ausge- 
fiihrten Funktionsgruppe (5) eine andere, gleichartige 
Funktionsgruppe (5') die Funktion der fehlerhaften Funk- 
tionsgruppe ubernimmt, wobei zu diesem Zweck Signallei- 
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tungen (37, 38) und Logikkomponenten (34) vorgesehen 
sind, welche entweder ein Abschalten der fehlerhaften 
Funktion bewirken (fault silent) oder welche ein Um- 
schalten der Funktion auf die fehlerfrei f unktionierende 
Funktionsgruppe (5') gewahrleisten (fault tolerant). 

8. Verwendung der Schaltungsanordnung gemaft den Anspriichen 
1 bis 7 in elektronischen Bremssystemen fur Kraftfahr- 
zeuge oder in elektronischen Steuerungen zur Regelung 
der Fahrdynamik von Kraf tf ahrzeugen oder zur Steuerung 
von elektronisch gesteuerten Feststellbremsen oder zur 
Steuerung von Fahrzeugruckhaltesystemen, wie beispiels- 
weise Airbagsteuerungen . 
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Zus ammen f as sung 

Integriertes Mikroprozessorsystem fiir sicherheitskritische 
Regelungen 

Beschrieben ist eine Integrierte Schaltungsanordnung fur 
sicherheitskritische Anwendungen, insbesondere fiir Steue- 
rungs- und Regelauf gaben in einem elektronischen Kraftfahr- 
zeugbremssystem, umfassend mehrere elektronische, zusammen- 
wirkende Funktionsgruppen (25, 25' ), wobei elektrischen Lei- 
tungen (30) vorhanden sind, die die Funktionsgruppen (25, 
25') miteinander verbinden, welche Funktionsgruppen erster 
Art und zweiter Art umfasst, wobei die Funktionsgruppen der 
ersten Art zumindest die Funktionsgruppe redundantes Mikro- 
prozessorsystem (1) und insbesondere die Funktionsgruppe 
Ein-/Ausgabeeinrichtungen (19) umfassen, und die Funktions- 
gruppen zweiter Art zumindest die Funktionsgruppen Aktua- 
tortreiber (11, 15, 24, 35) und Sicherheitsschaltkreise (5, 
5', 7, 7') umfassen, und wobei die Funktionsgruppen erster 
Art und zweiter Art auf einem gemeinsam Chip oder Chiptrager 
(23) vereint sind. 

Die Erfindung kann verwendet werden in elektronischen Brems- 
systemen fiir Kraf tf ahrzeuge, in elektronischen Steuerungen 
zur Regelung der Fahrdynamik von Kraf tf ahrzeugen, zur Steue- 
rung von elektronisch gesteuerten Feststellbremsen oder zur 
Steuerung von Fahrzeugruckhaltesystemen - 

(Fig. 2) 



